Bastano lo SPID e il software libero per garantire sufficiente sicurezza per una partecipazione deliberativa elettronica comunale o nazionale in larga scala?

Con la conquista di 2 grandi città, il Movimento Cinquestelle ha finalmente l’occasione e le risorse per realizzare la promessa democrazia diretta, online e non, in larga scala. Il programma prevede un forte consolidamento ed estensione degli istituti di partecipazione e la progressiva estensione a tutti i cittadini di strumenti online di partecipazione in larga scala e deliberativa – invece che meramente consultiva – al processo deliberativo dell’amministrazione comunale.

La presidente degli Stati Generali dell’Innovazione, Flavia Marzano – da 15 anni una dei leader italiani delle battaglie per il software libero, formati aperti e dati aperti nella pubblica amministrazione – è stata invitata ad essere il nuovo Assessore alla “Roma Semplice” da parte della nuova amministrazione capitolina M5S. Avrà l’onere, onore e sfida di sviluppare tecnologie e processi ICT che – non solo supportino una radicale trasparenza per combattere la malapolitica – ma vadano a realizzare l’agognata democrazia diretta digitale.

La maggioranza dei politici e giornalisti del settore in Italia pensano che l’utilizzo di software e open source della parte server, e l’applicazione del livello 3 dello SPID (Sistema Pubblico di Identità Digitale) – ovvero i sistemi di sicurezza comunemente usati per i servizi bancari – possano essere sufficienti per minimizzare sufficientemente i rischi.

Di recente, il vicepresidente di Stati Generali dell’Innovazione, Nello Iacono, ha fatto delle proposte in un recente blog post, con il seguente sottotitolo: “Alcune riflessioni sulla spinta possibile per Spid: una sua diffusione rapida consentirebbe di renderlo fattore abilitante della cittadinanza digitale e della partecipazione dei cittadini, consentendo di ridurre drasticamente costi e tempi”

Similarmente, il progetto Parelon, sviluppato da volontari del M5S Regione Lazio con risorse solo volontarie e relativamente molto limitate, ha centrato la sua sicurezza sull’utilizzo e sviluppo in software libero (e.g. open source), generiche buone pratiche IT e sistemi di autenticazione con token bancaria (one time password generator). Nonostante, il loro sito ometta di menzionare il tema, i suoi autori ammettono a voce come il loro sistema sia concepito per scenari d’uso in cui gli utenti trasparentemente rinunciano alla confidenzialità del voto per poter offrire maggiore sicurezza; ancorché essa rimane comunque radicalmente insufficiente. D’altronde, la rinuncia alla segretezza del voto può essere forse accettabile, per scelta, per un partito, ma è costituzionalmente vietata per il voto politico e amministrativo.

Molti altri politici e giornalisti del settore hanno fatto riferimento come esempio al voto elettronico online della Estonia (patria dell’attuale Commissioner IT della EU) oppure in qualche zona della Svizzera a livello semi-sperimentale.

Gli obiettivi e l’idea di base di tali proposte sono fortemente encomiabili, ovvero far si che il desiderio di alcune nuove amministrazioni di espandere in larga scala le possibilità di partecipazione civica online dei cittadini –  deliberativa e non solo consultiva – porti con se una forte diffusione di nuove certificazioni commerciali per transazioni e comunicazioni informatiche, come nelle intenzioni di SPID (e eIDAS), che siano significativamente più sicuri e largamente implementati in sistemi IT commerciali, per essere sfruttata dalla PA per offrire enormi vantaggi ai cittadini: (a) rendere più semplice ed economica l’interazione del cittadino con l’amministrazione; (b) diffondere fra i cittadini tale SPID, in modo da possa rendere più efficienti le transazioni economiche ed realizzare risparmi potenzialmente enormi di denaro pubblico derivanti dalla completa dematerializzazione di un gran numero di servizi della pubblica amministrazione; (c) portare trasparenza ai processi ai fini di prevenzione della corruzione. 

Tali obiettivi, purtroppo,  si scontrano con il fatto che vi è un largo consenso  tra i massimi esperti di sicurezza informatica al mondo che ogni standard o sistema di sicurezza IT esistente – finanche quello per abilitare apparecchi per trattare segreto di stato, ed tanto più e il terzo e massimo livello dello SPID – forniscono livelli di sicurezza o privacy che sono ad oggi ancora radicalmente lontani dal fornire garanzie “costituzionalmente” e ragionevolmente sufficienti contro un abuso di larga scala di sistemi di voto online o partecipazione deliberativa online dei cittadini, come ad esempio quello di proposta e sottoscrizione di una proposta di legge ad iniziativa popolare.

L’associazione statunitense Verified Voting, che aggregò gli esperti sopramenzionati, spiega bene perchè le tecnologie e metodi di sicurezza che usiamo per le transazioni bancarie, come suggerite da Parelon, controintuitivamente, sono radicalmente inidonee per proteggere il voto dei cittadini.

Ogni report di organi riconosciuti del voto via internet in Estonia, ha rivelatoun’enorme quantità di vulnerabilità, che porta a concludere che attori (anche con capacità moderate) possano aver alterato i voti espressi via internet in tali elezioni, e possano ben farlo in futuro dato che l’Estonia ha preferito investire in pubbliche relazioni che non invece, prendere atto pubblicamente dell’entità della sfida, ed investire adeguatamente nella ricerca di soluzioni adeguate.

I cittadini, sono per lo più tenuti all’oscuro di tali rischi del voto via internet ed anche della grande probabilità di abusi già avvenuti e non scoperti, con ricorrenti richiami a migliorare la democrazia attraverso un semplice “voto dal tablet” di vari politici, incluso il M5S, eccetto per qualche sporadico articolo che sottolinea le grandi sfide che prima bisogna affrontare. Anche dopo un battage pubblicitario gigantesco e planetario, nella Estonia E-residency, centrato sulla sicurezza e confidenzialità offerta, hanno creduto in sole 10.000 persone.

A differenza di altri in SGI, Flavia Marzano ha mostrato di essere ben cosciente delle sfide tecniche, organizzative e procedurali che comporta l’offrire in larga scala le possibilità di partecipazione civica online dei cittadini, deliberativa e non solo consultiva. Fu la Marzano, nella primavera del 2014, in qualità di Presidente degli Stati Generali dell’Innovazione (SGI) – la primaria NGO del settore IT solidamente in area PD – che accettò di partecipare all’iniziativa della Open Media Cluster di convocare 2 incontri in Regione Lazio con i capogruppo di PD, M5S e SEL, o loro diretti delegati, per una campagna di legge per il “software libero, hardware documentato, partecipazione e servizi telematici trasparenti”.

Tale proposta di legge, ad oggi nemmeno discussa dal consiglio a maggioranza PD, prevede che ogni servizio critico al cittadino, come e-health o partecipazione online, debba obbligatoriamente essere offerto in rispetto di “servizi telematici trasparenti“, derivato dal concetto di telematica trasparente (evoluto nel concetto di trustless computing della Trustless Computing Initiative) – che prevedono requisiti di verificabilità e livelli di verifica estremi in relazione alla complessità per ogni tecnologia o processo critico coinvolto – dal lato server e dal lato utente – nella fruizione o nel ciclo vita della soluzione, dalla definizione degli standard, al design del CPU, al monitoraggio della fase di fabbricazione. Dopo settimane di enorme pazienza e solleciti da parte di Davide Barillari, portavoce del M5S regione Lazio, il PD e SEL continuavano a comunicarci come fossero in attesa di coinvolgimento di loro esperti per valutare le parti tecniche del testo condiviso nell’impianto generale.

Negli stessi giorni, come risultava evidente che il PD non avesse ne la volontà politica e ne la capacità tecnica di proporre una seria legge sul tema, la direzione generale degli Stati Generali dell’Innovazione bocciò ogni coinvolgimento della SGI stessa nella campagna, nonostante il suo successo e il fatto che Richard Stallman stesso, inventore del software libero, fosse venuto a Roma per promuoverla, e ripetuti solleciti da parte della loro presidente. Come sempre in Italia, è difficile concludere quanto dichiarazioni gravemente erronee circa temi assolutamente vitali per la democrazia e la società, da parte di soggetti coinvolti nell’ICT per la PA, siano dovuti a sottomissione politica o a grave impreparazione tecnica.

Molto del silenzio che si è sentito (il silenzio fà un rumore tremendo) su questi temi da parte del M5S, con eccezione di Davide Barillari e pochi altri, rischia di trasformare un’enorme opportunità di rilancio del paese in un incubo di votazioni manipolate e, nella misura in cui se ne potrà comprovare la compromissione, una conseguente forte delegittimazione del M5S nella sua capacità di realizzare responsabilmente la sua principale promessa.

Siamo ben coscienti dell’enorme costo di dire la verità per quasi tutti in questo paese, ma è venuto il momento di dire la verità sull’entità della sfida tecnologica, socio-tecnica ed organizzativa della democrazia diretta online, per evitare che un grande strumento di promozione della democrazia finisca per promuovere il suo opposto. Come disse bene George Orwell: “In un tempo di universale inganno, dire la verità è un atto rivoluzionario“.

D’altronde, il silenzio rispetto a queste problematiche fino ad oggi è stato comprensibile in un’ottica di efficace strategia politica di quel “pragmatico visionario” di Gianroberto Casaleggio, come lo ha definito Stefano Quintarelli. Poichè né la Casaleggio Associati, ne il Movimento e né il gruppo di volontari di Parelon ha avuto ad oggi nemmeno remotamente le risorse economiche per sviluppare soluzioni ICT all’avanguardia mondiale all’altezza delle proprie ambizioni. Hanno dovuto de-enfatizzare i rischi di democrazia diretta online poichè ciò avrebbe delegittimato la loro visione e scoraggiato la partecipazione ai loro strumenti online, già relativamente molto bassa.

Ma oggi, con il controllo di comuni come Roma e Torino, l’M5S può attrarre, attraverso fondi di ricerca e pre-procurement EU, risorse anche 100 volte maggiore di quanto hanno potuto investire oggi, stimabili in meno di 1 milione d’euro, per affrontare tale sfida. Ora ci sono le risorse economiche, il tempo e l’autorità istituzionale per fare quanto andrebbe fatto, e quindi è tempo che chi sa parli per evitare che ciò che potrebbe essere una grande opportunità per la democrazia, diventi la sua più grande sconfitta.